For Want Of A Better Word

【セキュリティ】【ざっくり】公開鍵暗号方式と共通鍵暗号方式とsslとhttpsとディジタル署名とサーバー証明書と…..こんがらがってきたので整理

      2015/04/18

だいぶこんがらがってきたので、それぞれの役割と関連を整理。

 

説明はとにかくざっくり。

 

暗号化 (盗聴防止のための手法)

共通鍵暗号方式・公開鍵暗号方式

データやり取り際の暗号化と復号化の方法。

両者で同じ鍵を持つのが共通鍵

公開鍵と秘密鍵二つの鍵を使うのが公開鍵。

盗聴防止。

 

ハイブリッド方式

共通鍵と公開鍵を使うハイブリッド方式。

なぜハイブリッドしているかというと、高速化と鍵の管理を楽にするため。

盗聴防止。

 

署名(改ざん検知・送信者確認の手法)

ディジタル署名

公開鍵暗号方式とハッシュを利用して、署名データに関して送信者確認と改竄防止ができる。

でも、送信者が鍵の所有者というのは分かるけど、実在は分からない。

 

ディジタル署名を利用して、実在確認をする仕組みが「PKI(公開鍵基盤)」その実現方式が、以下サーバー証明書を利用したもの。

 

サーバー証明書

認証局が発行する「サーバーの運営者は実在しますよ」というお墨付き。

 

中身は

・コモンネーム(運営者やドメイン情報)と、

・対象サーバーの公開鍵

・データのハッシュ値

で、認証局の秘密鍵で暗号化されており、「ディジタル証明書」として発行されている。

ディジタル署名であることで、証明書の発行元の確認と、改竄されていないことが確認できる。

 

 

 

暗号化技術・証明書を使った通信のプロトコルとしての実装

SSL

通信を暗号化してやり取りするプロトコル。

ハイブリッド方式の実装。

 

https

httpで、sslの技術を使い暗号化したもの。

サーバー証明書が必要。(認証局のお墨付き無しのオレオレでもOK)

 

 

でこれらを使った安全な通信が「サーバー証明書を使ったssl(https)による安全な通信」というもの。

 

「サーバー証明書を使ったssl(https)による安全な通信」の流れ

 

※最初は、ディジタル署名を使った、サーバー証明書による実在確認。

①ユーザーが居ます。サーバーに接続します。

まだこいつが正しい奴か確認できていません。。

 

②サーバーは、信じておくれと、自分の「サーバー証明書」を渡します。認証局のディジタル署名付きです。

 

③ユーザーはサーバー証明書の中身を確認します。

認証局の秘密鍵で暗号化されているので、認証局の公開鍵を取得します。

復号できたら、「ああ、認証局が発行したものだ」と確認できます。(A)

自分でハッシュ値を計算して、証明書についていたハッシュ値と一致したら、「ああ改竄されて無いな」と確認できます。(B)

 

※(A)と(B)が、ディジタル署名の効果

 

※この認証局って正しいのはどう確認しようと思ったら、ルート証明書を確認します。

ルート証明書は認証局を認証している認証局の署名です。 親分認証局という感じ。

親分をたどっていって、自分の持っているルート証明書と一致したら、「ああこの配下か」と、安心できます。(ルート証明書は大抵ブラウザに入っています。)

 

ここで、サーバー運営者の実在性が確認されました。

 

※ここからSSLの話

④じゃあ、いざデータを送信したいけど暗号化して送りたいなぁ

さきにもらったサーバー証明書にサーバーの公開鍵が含まれているので、それで暗号化データを作成することが出来ます。(公開鍵で暗号化されたものは、秘密鍵でしか復号出来ない。)

でも、公開鍵方式だけでやると処理が重いので、ハイブリッド暗号方式でやります。

 

一時的な秘密鍵を作成し、それを公開鍵で暗号化して送信。

無事秘密鍵が共有され、暗号化通信できました!

盗聴なんて怖くない!

 

以上 がhttps通信のイメージ。

 

 

図にしたい….

 - セキュリティ

  関連記事

クッキーモンスター

ふと「クッキーモンスター 」という単語を聞いて、WEBアプリ関係でそんなものがあ …

【SSL】ssl testで「C4 Yes INSECURE」となったときの対処法

参考:http://qiita.com/sion_cojp/items/99fe …

【セキュリティ】ファイアーウォールのパケットフィルタリングのチェック対象

ファイアーウォールのパケットフィルタリングは、基本パケットのヘッダしか見ないと& …

【OpenVAS】CentOS6.5へのインストールと使い方

チャレンジ。 http://knowledge.sakura.ad.jp/tec …

情報セキュリティについてちょっとまとめ

把握したいこと (1)情報セキュリティ何を指していっているのか、 「情報の機密性 …